講演抄録/キーワード |
講演名 |
2011-07-26 14:05
自己組織化マップを用いたWindows OS malware挙動の可視化 ○安藤類央(NICT) NC2011-40 |
抄録 |
(和) |
近年のCommodity OSの複雑化は、マルウェアの挙動を一層洗練化させており、
セキュリティインシデント解析の際には、複雑なデータから構造やパラメータを
抽出し、解析を行う必要がある。自己組織化マップは、教師なし学習アルゴリズムの中でも処理時にクラスタ数を与件とせず、学習時にトポロジーが変化しないことから、セキュリティインシデントに関するデータの構造や識別可能性が不明な初期段階で適用することが有効である。本論文では仮想環境でのマルウェアのデータを取得し、マルウェアの分類可視化を試みる。XEN 上で稼動する仮想マシン上で起こるセキュリティインシデントを、ドメインU のEMIT 命令発行とハイパーバイザーの修正によりドメイン0に通知することで可観測化し、コンソールログを定量化、可視化する手法を提案する。ログの通知時には仮想CPU のコンテキストを用いて、EMIT 命令によりドメインUからHYPERCALL を発行することによりVMENTER とVMEXIT を任意に切り替えることでドメイン0からドメインU へイベントログ文字列を送信する。評価実験では、ドメインU のWindows OS の動的ログ、静的ログをドメイン0へ通知し、自己組織化マップによってイベントの可視化を行う。
この結果、マルウェアの静的なログは分類可視化が困難であり、振る舞いを記録した動的ログに関しては適切な識別が可能であることが明らかになった。 |
(英) |
As commodity OS has compound funcions and utilities, malware's behavisor has become complicated. In security incident analysis, we need to specify the malware without detailed information about structre and parameter.
SOM (self organization map) is an algorithm of nonsupervised and makes
it possible to analyze the malware without expensive preprocessing.
In this paper we propose an interdomain communication protocol of XEN
virtual machine by involing emit instruction. DomainU can convey
information to hypervisor using virtual CPU context in an arbitrary point of Windows kernel by generating hypercall. In experiment, a security incident log of virtualized Windows OS is transferred to hypervisor of which log is visualized by self organization map. We show the result of classification of both dynamic and static log of malware. |
キーワード |
(和) |
自己組織化マップ / マルウェア挙動 / 仮想化 / 静的ログ / 動的ログ / / / |
(英) |
SOM / malware / virtualization / static log / bahavior log / / / |
文献情報 |
信学技報, vol. 111, no. 157, NC2011-40, pp. 109-114, 2011年7月. |
資料番号 |
NC2011-40 |
発行日 |
2011-07-18 (NC) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
NC2011-40 |